Contributo di Nicola Fabiano e Filippo Bianchini
Il tema del furto d’identità non costituisce una novità, posto che il fenomeno è antico.
In Italia è stata fornita una definizione del fenomeno dall’art. 30-bis del D.Lgs. 13/8/2010, n. 141 recante “Attuazione della direttiva 2008/48/CE relativa ai contratti di credito ai consumatori, nonche’ modifiche del titolo VI del testo unico bancario (decreto legislativo n. 385 del 1993) in merito alla disciplina dei soggetti operanti nel settore finanziario, degli agenti in attività finanziaria e dei mediatori creditizi”. Il citato art. 30-bis (rubricato “Definizioni”) recita:
“1. Ai fini del presente decreto legislativo per furto d’identità si intende: a) l’impersonificazione totale: occultamento totale della propria identità mediante l’utilizzo indebito di dati relativi all’identità e al reddito di un altro soggetto. L’impersonificazione può riguardare l’utilizzo indebito di dati riferibili sia ad un soggetto in vita sia ad un soggetto deceduto; b) l’impersonificazione parziale: occultamento parziale della propria identità mediante l’impiego, in forma combinata, di dati relativi alla propria persona e l’utilizzo indebito di dati relativi ad un altro soggetto, nell’ambito di quelli di cui alla lettera a)”.
Tali definizioni, tuttavia, sono riferibili alla definizione di furto d’identità connesso ad attività finanziarie: ciò è comprensibile alla luce del fatto che la crescita delle frodi creditizie in Italia realizzate tramite furti d’identità è in continuo aumento: le stesse, infatti, sono passate dai 25.300 casi del 2015 ai 26.100 del 2016, fino agli oltre 26.600 casi del 2017, per una perdita economica superiore ai 153 milioni di Euro (fonte: Osservatorio CRIF – Mister Credit sui furti d’identità e le frodi creditizie in Italia).
Di furto d’identità parla anche la L. 71/2017, recante “Disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo”, che all’art. 1 ricomprende nel termine «cyberbullismo» “qualunque forma di […] furto d’identità”.
Non sussiste una definizione di tale fenomeno, soprattutto se si considera l’identità digitale che è definita dal D.Lgs. 82/2005 (Codice dell’Amministrazione Digitale - CAD) come “la rappresentazione informatica della corrispondenza tra un utente e i suoi attributi identificativi, verificata attraverso l’insieme dei dati raccolti e registrati in forma digitale secondo le modalità fissate nel decreto attuativo dell’articolo 64”.
In giurisprudenza gli arresti in materia identificano variamente il furto d’identità nella utilizzazione di un documento altrui (Cassazione civile, sez. III, sentenza n. 3350 dell’11/02/2009; Cassazione civile, sez. II, sentenza n. 7464 del 26/03/2018), nell’apertura di un finto profilo Facebook (Cassazione penale, sez. V, sentenza n. 5352 del 22/11/2017), nell’indebito utilizzo di carte di credito altrui (Cassazione penale, sez. II, sentenza n. 41777 del 30/09/2015), nell’“infettamento dei cellulari” (Cassazione penale, sez. fer., sentenza n. 46385 del 10/09/2013), come anche nella condotta di chi abbia indebitamento sfruttato una rete wireless per postare uno scritto diffamatorio (Cassazione penale, sez. V, sentenza n. 8275 del 29/10/2015).
In questa sede si intende evidenziare il fenomeno “furto d’identità” nella sua correlazione con il tema della protezione dei dati personali. Nell’ottica della protezione dei dati personali il furto d’identità emerge come conseguenza di una violazione delle informazioni, ossia di un data breach e, quindi, come ipotesi di rischio. Il Regolamento UE 2016/679 fa esplicitamente riferimento al furto d’identità solo nei “Considerando” e precisamente:
(75) I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo;
(85) Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata;
(88) Nel definire modalità dettagliate relative al formato e alle procedure applicabili alla notifica delle violazioni di dati personali, è opportuno tenere debitamente conto delle circostanze di tale violazione, ad esempio stabilire se i dati personali fossero o meno protetti con misure tecniche adeguate di protezione atte a limitare efficacemente il rischio di furto d’identità o altre forme di abuso. Inoltre, è opportuno che tali modalità e procedure tengano conto dei legittimi interessi delle autorità incaricate dell’applicazione della legge, qualora una divulgazione prematura possa ostacolare inutilmente l’indagine sulle circostanze di una violazione di dati personali.
Com’è evidente, il GDPR indica il furto d’identità sostanzialmente nelle seguenti fattispecie:
- rischi per i diritti e le libertà delle persone fisiche
- violazione dei dati personali
- notifica delle violazioni di dati personali
Nella prima ipotesi (considerando 75) il GDPR indica il furto d’identità (addirittura aggiungendo la usurpazione di identità) quale fonte di rischio per i diritti e le libertà delle persone fisiche nell’ambito di un trattamento. Tale qualificazione - prodromica alle altre due ipotesi - è utile per rafforzare il rilievo che assume l’analisi dei rischi, in occasione della quale è necessario valutare l’eventuale incidenza di eventuali situazioni e le contromisure che devono essere adottate.
Qualora, poi, si presenti un rischio elevato per i diritti e le libertà delle persone fisiche è necessaria la valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 e seguenti del GDPR. Il considerando 85, invece, fa riferimento all’ipotesi delle conseguenze di una violazione dei dati personali (art. 33 GDPR) e, in particolare, a quella del furto d’identità. Un data breach può comportare l’utilizzo dei dati violati per attività criminose come il furto d’identità. Il GDPR fa riferimento al furto d’identità anche nel considerando 87 che si riferisce alla notificazione (art. 33) della violazione dei dati personali, con la espressa precisazione di un’analisi delle circostanze della violazione stessa per valutare quali misure tecniche adeguate di protezione fossero state adottate per limitare efficacemente il fenomeno. Tale precisazione indica come il titolare o il responsabile del trattamento debbano valutare preventivamente il fenomeno del furto d’identità adottando misure tecniche adeguate di protezione.
Pertanto, dalla lettura dei citati considerando emerge da un lato l’attenzione specifica del legislatore europeo al fenomeno del furto d’identità e dall’altra la esigenza di considerare il relativo rischio nella fase di assesment e di conseguente monitoraggio dei processi attinenti il trattamento dei dati personali. Il fenomeno del furto d’identità può assumere diverse connotazioni come emerge dallo schema, non esaustivo, che segue.
Si è detto che il furto d’identità costituisce una conseguenza di una violazione dei dati personali (un data breach) le cui cause possono essere molteplici. A titolo meramente esemplificativo si riporta uno schema, non esaustivo, delle principali cause che possono determinare un furto d’identità.